Netmail EMEA GmbH | Itzbachweg 16-20 | 65510 Idstein

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein emea@netmail.com +49 6126 5019 590 www.netmail.com/de

Netmail EMEA GmbH – Revisionssichere E-Mail-Archivierung

E-Mail-Archivierung über Microsoft Tools &

private E-Mail-Nutzung

Information über den existierenden Konflikt zwischen privater E-Mail-Nutzung am

Arbeitsplatz und gesetzeskonformer E-Mail-Archivierung mit Microsoft Bordmitteln

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Hintergrund

Gerade vor dem Hintergrund der seit dem 1. Januar 2017 möglichen

strafrechtlichen Konsequenzen aus der Nicht-Einhaltung der GoBD sowie der am

25. Mai 2018 wirksam werdenden EU-DSGVO machen sich zunehmend mehr

Unternehmen Gedanken über die Archivierung Ihrer Mails.

Viele Unternehmen greifen daher zur Archivierung über Microsoft Bordmittel,

um eine revisionssichere E-Mail-Archivierung umzusetzen. Bei vielen

Lizenzmodellen von Microsoft ist das zusätzliche Archiv-Postfach bereits

integriert und es scheint, als könnten Unternehmen eine gesetzeskonforme

E-Mail-Archivierung schnell und unkompliziert umsetzen.

Allerdings lohnt hier ein detaillierterer Blick auf die Archivierung über Microsoft.

Insbesondere bei privater E-Mail-Nutzung am Arbeitsplatz sollten Unternehmen

hellhörig werden und sich genauer informieren. Dieses Dokument soll Ihnen

einen Überblick über die wesentlichen Risiken und mögliche Lösungsvorschläge

an die Hand geben.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Aktuelle Situation vieler Unternehmen

Viele Unternehmen setzen heute noch keine Archivlösung ein und denken über mögliche

Lösungen nach, um für die geschäftsrelevante E-Mail-Korrespondenz eine

gesetzeskonforme Archivlösung umzusetzen. Ziel ist es, gemäß der GoBD, eine

lückenlose und vollständige Archivierung über 10 Jahre hinweg umzusetzen. Diese

Aufbewahrungsfrist gilt für sämtliche geschäftsrelevante Kommunikation, sodass

Unternehmen mit dieser Dauer auf der sicheren Seite stehen.

Weit verbreitet hatte sich die Annahme, dass die Sicherung über PST-Dateien eine

sinnvolle Alternative sei. Vielmehr stellen PST-Dateien jedoch ein relevantes Risiko in

Bezug auf die Datensicherheit dar. Somit sind die Anforderungen auf Revisionssicherheit

gemäß der GoBD nicht erfüllt. Unternehmen benötigen daher nicht nur ein Tool zur

E-Mail-Archivierung, sondern zusätzlich ein Tool, das sämtliche lokal abgelegte PST-

Dateien einsammelt und in ein entsprechendes Archiv integriert.

Eine weitere Problematik ist die private Nutzung des E-Mail-Postfaches. Viele

Unternehmen erlauben oder dulden zumindest eine solche private Nutzung. Damit fallen

sie unter das Telekommunikationsgesetz und sind gegenüber Ihren Mitarbeitern zur

Wahrung des Fernmeldegeheimnisses verpflichtet, das über das Angestelltenverhältnis

hinaus Gültigkeit bewahrt.

Doch welche Archivlösung wird all diesen Anforderungen gerecht? Was müssen

Unternehmen bei der Archivierung mit Microsoft Bordmitteln beachten? Und wie kann

eine gesetzeskonforme E-Mail-Archivierung umgesetzt werden? Weitere Informationen

und Antworten finden Sie auf den nachfolgenden Seiten dieses Dokuments.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Gesetzliche und regulatorische Anforderungen

Nach verschiedenen Gesetzen, darunter das HGB, die GoBD sowie das UStG, sind

Unternehmen dazu verpflichtet geschäftsrelevante Dokumente bis zu 10 Jahre lang

aufzubewahren und zu archivieren.1 Die Archivierung muss in Deutschland erfolgen und

hat bestimmte Anforderungen zu erfüllen.

Demnach sind Nachrichten revisionssicher zu archivieren, d. h. ohne Informationsverlust

bzw. vor Verlust und unberechtigten Zugang zu schützen. Darin implizit eingeschlossen

ist die Unveränderbarkeit der Information bzw. dass Änderungen dokumentiert werden

müssen. Im Sinne der Prüfbarkeit ist weiterhin auf eine vollständige und lückenlose

Archivierung zu achten. Eine Verfahrensdokumentation gewährleistet die

Nachvollziehbarkeit, dass diese Vorgaben eingehalten werden. Die Lesbarkeit der Daten

über die gesamte Archivierungsdauer hinweg stellt sicher, dass jederzeit eine maschinelle

Auswertbarkeit der Daten erfolgen kann und die Daten bei Prüfungen für Datenexporte

zur Verfügung stehen.

Im Hinblick auf die Nutzung privater Mails sind diese von der Regelarchivierung

auszuschließen. Mit Blick auf die ab dem 25. Mai 2018 wirksam werdende EU-DSGVO ist

bei der Verarbeitung personenbezogener Daten weiterhin darauf zu achten, dass

entsprechende Nachrichten bzw. Inhalte jederzeit auffindbar und auf Verlangen auch

löschbar sind.

Für Unternehmen, die unter das KWG fallen, gibt es nochmal zusätzlich dokumentiert eine

Verpflichtung zur vollständigen Dokumentation der Geschäftstätigkeit, wodurch die

lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich

gewährleistet werden soll. Das KWG weist neben einer separaten Aufbewahrungsfrist von

mindestens fünf Jahren auf § 257 Absatz 4 des HGB sowie § 257 Absatz 3 und 5 des HGB

hin und unterstreicht somit die darin geforderte Aufbewahrungsfrist.

1 Eine ausführliche Betrachtung ist in den Dokumenten „GOBD Netmail Archive Whitepaper”

sowie „EU-DSGVO Netmail Archive Whitepaper“ auf unserer Website dargestellt.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Archivierung mit Microsoft Bordmitteln

Um einen Überblick über die Vor- und Nachteile der Archivierung mit Microsoft

Bordmitteln zu geben, wird nachfolgend kurz auf die Einrichtung des Archivs sowie auf

weitere Einzelaspekte bei der Überlegung zu einer Archivlösung eingegangen. Dieser

Überblick soll Unternehmen mögliche relevante Gesichtspunkte bei der Entscheidung zu

einer Archivlösung aufzuzeigen und basiert auf den Erfahrungswerten, die Netmail bei

Kunden gemacht hat.

Einrichtung

Mit Nutzung der Microsoft Exchange Bordmittel für eine Archivierung der Mails ist eine

schnelle Einrichtung und Aktivierung pro Anwender sowie eine Integration in den Outlook

Client ohne Veränderung am Client möglich. Dem Anwender steht demnach eine

gesonderte Mailbox zur Archivierung zur Verfügung, die auch über das Internet erreichbar

ist, z. B. per OWA. Um einen Überblick über die Vor- und Nachteile der Archivierung mit

Microsoft Bordmitteln zu geben,

Integration von PST-Dateien

Die Annahme, dass die Sicherung über PST-Dateien eine sinnvolle Alternative zu einem

Archiv sein könnte, ist leider falsch. Mit der Nutzung von PST-Dateien ergibt sich eine

enorme Sicherheitslücke, z. B. durch die Möglichkeit der Mitnahme von PSTs durch

Mitarbeiter. Unter der Nutzung der Archivlösung von Microsoft müssen demnach die

alten PST-Dateien betrachtet und ins Archiv integriert werden. Microsoft stellt hierfür

keine Toolmittel zur Verfügung. Für eine vollständige Archivierung sind Unternehmen

daher gezwungen ein anderes Tool für die Einsammlung und Integration dieser

persönlichen Archive zu nutzen.

Lizenzen zur Nutzung der Archivierung

Innerhalb des Exchange Systems ergibt sich für das Unternehmen bzw. den ausführenden

Dienstleister die Notwendigkeit einer höheren Datenbank Speicherkapazität. Dies ist

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

erforderlich, da die E-Mails 10 Jahre aufzubewahren sind und ein entsprechendes

Datenwachstum über diesen Zeitraum mit einzuplanen ist. Um die Archivlösung von

Microsoft nutzen zu können, müssen abhängig von der jeweils genutzten Lizenz

zusätzliche Lizenzen erworben werden. Beispielsweise müssen Exchange-Benutzer mit

einer Standard-CAL zusätzlich eine Exchange Enterprise-CAL und Office Plus Lizenz

erwerben. Im E3 Plan oder aber bei Exchange Online Plan 2 ist das Archiv bereits

standardmäßig enthalten.

Regelbasierte und manuelle Archivierung

Mails aus dem Posteingang oder Systemordern können entsprechend von

Standardregeln ins persönliche Archiv verschoben werden. Darüber hinaus hat der

Anwender immer auch manuell die Möglichkeit Mails ins persönliche Archiv zu legen.

Für Unterordner sind diese Standardregeln nicht anwendbar (siehe Abbildung 1). Hier

muss der Anwender entsprechend eigenverantwortlich tätig werden und Mails manuell

archivieren.

Abbildung 1

Viele Unternehmen möchten die Verantwortung über die Archivierung jedoch nicht den

Anwendern überlassen und streben eine automatisierte Archivierung mit

unternehmensweiten Archivierungsrichtlinien an. Dies ist mit der Lösung von Microsoft

so nicht umsetzbar.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Revisionssichere Archivierung mit ‚Litigation Hold‘

Mit der Funktion ‚Litigation Hold‘ oder der Einführung von ‚Journal Mailboxen‘ bietet

Exchange die Möglichkeit einer gesetzeskonformen Archivierung. Das

Wirtschaftsprüfungs- und Beratungsunternehmen KPMG testiert die E-Mail-Archivierung

mit der Hilfe von Exchange Online oder Exchange Server 2013 in einem Gutachten als

revisionssicher, sofern sämtliche Funktionen korrekt angewendet werden.2

Ist ‚Litigation Hold‘ aktiviert, werden alle Mails ausnahmslos über einen zu definierenden

Zeitraum hinweg, z. B. 10 Jahre entsprechend der Aufbewahrungsfrist, gespeichert. Auch

private Mails von Mitarbeitern sowie Mails mit sensiblen Inhalten werden dann archiviert.

Dabei spielt es keine Rolle, ob diese Mails ggf. in gesonderte Ordner klassifiziert abgelegt

wurden.

Sowie diese Funktion deaktiviert ist, werden u. U. alte Mails gelöscht. Dies könnte

beispielsweise dann relevant werden, wenn Mails von Bewerbern nach einer gewissen

Zeit gelöscht werden müssen und die Funktion daher zu deaktivieren ist.

Unter diesen Voraussetzungen kann das Archiv also gar nicht auf unbestimmte Zeit auf

‚Litigation Hold‘ gesetzt werden. Es wird immer wieder Nachrichten geben, die zu löschen

sind.

Da die Erlaubnis oder zumindest die Duldung der privaten Nutzung des E-Mail-Postfaches

bei Unternehmen weit verbreitet ist, möchten wir hierauf einen besonderen Fokus legen.

Denn sofern die Mailboxen für eine lückenlose Archivierung gemäß GoBD auf ‚Litigation

Hold‘ stehen, werden ausnahmslos alle E-Mails gespeichert.

2 https://cloud.telekom.de/blog/e-mail-archivierung-mit-exchange/

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Abbildung 2

Private Nutzung des E-Mail-Postfaches unter Microsoft

Da für eine lückenlose Archivierung die Funktion ‚Litigation Hold‘ oder ‚Journaling‘ aktiviert

sein müsste und demnach alle E-Mails ausnahmslos gespeichert würden, ist eine

Differenzierung von E-Mails in Bezug auf personenbezogene oder private Daten bei der

Exchange Archivierung nicht möglich. Da als ‚privat‘ markierte Nachrichten von der

geschäftlichen Regelarchivierung auszuschließen sind, bedarf es demnach einer

Unterbindung der Privatnutzung per Betriebsvereinbarung.

Auch das Gutachten der KPMG kommt zu dem Entschluss, dass einer gesetzeskonformen

Archivierung nur dann nichts im Wege stehe, wenn eine private Nutzung des E-Mail-

Postfaches ausgeschlossen ist. In dem Gutachten heißt es: „Sollte man hingegen dem

Standpunkt folgen, dass durch den Arbeitgeber auf dem E-Mail-Server gespeicherte

E-Mails nicht dem Fernmeldegeheimnis unterliegen, richtet sich die Zuverlässigkeit der

Archivierung weiterhin nach den Vorschriften des BDSG.“3

3 Microsoft Deutschland GmbH: Bericht “Compliancemanagement und E-Mail-Archivierung mit

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Doch die reine Unterbindung der Privatnutzung alleine reicht nicht aus. Gemäß eines zu

definierenden Prozesses muss die Einhaltung eines solchen Verbots regelmäßig und per

Zufallsauswahl überprüft werden. Die Zufallsauswahl muss wiederum belegbar sein,

damit sichergestellt ist, dass die Überprüfung nicht zielgerichtet erfolgt. Hierzu ist die

Einführung einer entsprechenden Software ratsam, die genau diese Anforderungen

erfüllt und umsetzt.

Auch wenn kein Mitarbeiter ein generelles Recht auf die private E-Mail-Nutzung am

Arbeitsplatz hat, so hat sich heutzutage zumindest ein gefühlter Anspruch darauf

eingebürgert. Im Zeitalter, in dem sogenannte „Shit Storms“ schnell die Runde machen

und sehr schnell geschäftsschädigende Ausmaße erreichen, sollte daher die Gefahr

unzufriedener Mitarbeiter bei einer solchen Einschränkung nicht unterschätzt werden.

Separate Betrachtung sensibler Daten

Unter der Voraussetzung einer Aktivierung von ‚Litigation Hold‘ oder ‚Journaling‘ für eine

vollständige Archivierung soll ein kurzer Blick auf sogenannte sensible Daten geworfen

werden. Sofern alle E-Mails ausnahmslos gespeichert würden, ist auch eine

Differenzierung von E-Mails in Bezug auf sensible Daten, wie beispielsweise Daten mit

Personenbezug gemäß EU-DSGVO nicht möglich.

Unter sensiblen Daten sind in diesem Zusammenhang kritische Daten zu verstehen, die

aus der Regelarchivierung auszuschließen sind und nur unter Zusammenschluss eines

entsprechenden Gremiums zugänglich sein sollten. Hierunter können Daten der

Vorstandkommunikation oder aus der Kommunikation mit dem Betriebsrat fallen. Auch

personenbezogene Daten könnten per Definition einer separierten Speicherung

unterliegen, die nur gesondert zugänglich sind.

Eine solche Differenzierung ist bei einer Archivierung mit Microsoft Bordmitteln nicht

möglich, da alle Mails „in einen großen Topf“ archiviert werden.

Microsoft Exchange Server 2013: Eine Analyse der wichtigsten Funktionen nach deutschem

Handels- und Steuerrecht“, Unterschleißheim, Dezember 2012

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Integration von Drittlösungen in das Archiv

Bei der weiteren Betrachtung hinsichtlich einer Entscheidung für oder gegen das Archiv

mit Microsoft Bordmitteln sollten Unternehmen ihre genutzten Systeme genauer unter

die Lupe nehmen. Für eine GoBD-konforme Archivierung müssen sämtliche

geschäftsrelevante E-Mails aufbewahrt werden. Daher sollten Unternehmen sich einen

Überblick verschaffen, welche Systeme neben dem E-Mai-Server von Microsoft E-Mails

versendet.

Gerade Unternehmen, die lange am Markt agieren, nutzen häufig auch andere Systeme

für Teilbereiche des Geschäftsprozesses. Separate Systeme, die beispielsweise das

Mahnwesen oder andere Teilbereiche managen, versenden unabhängig vom E-Mail-

System Nachrichten bzw. in diesem Fall Mahnungen per Mail an Kunden. Diese Mails sind

gemäß GoBD und somit für eine GoBD-konforme Archivierung selbstverständlich

aufzubewahren. Doch stellt Microsoft keine Möglichkeiten zur Verfügung, um

Drittlösungen in das Archiv zu integrieren. Bei Prüfungen wären diese Mails demnach

nicht auffindbar und die Archivierung somit unvollständig.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Zusammenfassung

Um Ihnen die Vor- und Nachteile der Archivierung mit Microsoft Bordmitteln

zusammenfassend darzustellen, haben wir die erläuterten Aspekte in der nachfolgenden

Matrix gekennzeichnet:

Integration von PST-Dateien

Software zur Integration von PST-Dateien

Lizenzen zur Nutzung der Archivierung

Unternehmensweite regelbasierte Archivierung

Manuelle Archivierung

Revisionssichere Archivierung mit ‚Litigation Hold‘

Flexible Anpassung der Aufbewahrungsdauer

Private Nutzung des E-Mail-Postfaches unter Microsoft

Separate Ablage sensibler Daten

Integration von Drittlösungen in das Archiv

möglich teilweise nötig nicht Bestandteil der Lösung

Für einige Unternehmen mag eine Archivierung mit Microsoft Bordmitteln demnach

durchaus Sinn ergeben. Bei zusätzlichen Anforderungen an eine E-Mail-Archivierung, wie

zu integrierenden Drittlösungen oder dem Wunsch nach einer automatisierten

Archivierung entlang von unternehmensweit definierten Richtlinien, um so den

Anwender zu entlasten oder der erlaubten Nutzung privater Mails, ist diese Lösung nicht

empfehlenswert. In diesen Fällen raten wir zur Nutzung einer Enterprise Archivlösung,

wie sie Netmail anbietet.

Für ein unverbindliches Beratungsgespräch stehen wir Ihnen gerne zur Verfügung.

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Weitere Informationen zu Netmail:

Netmail ist ein Softwareunternehmen, das Lösungen zu verschiedenen Themen des

Datenmanagements anbietet. Im Mittelpunkt der Lösungsansätze steht neben den

technischen Komponenten, immer der Kunde als Endanwender. Der personelle Faktor ist

somit ein wesentlicher Bestandteil bei technischen Änderungen.

Kernkompetenzen von Netmail sind die Migration von Mailsystemen, die Archivierung von

Daten sowie Themen rund um Anhangsmanagement und Verschlüsselungstechnologien.

Auszeichnungen für unsere Lösungen, wie der 1. Platz in der Kategorie „Exchange

Archivierung“ sowie in der Kategorie „Exchange Anti-Spam“ des MSExchange.org Readers’

Choice Awards durch MS.Exchange.org, bestätigen uns den Erfolg.

Gemeinsam mit Partnern bietet Netmail vollumfängliche Lösungen, die angefangen bei

Beratungen und Analysen bis hin zur Umsetzung und Projektabnahme durch den Kunden

auch Schulungen und Begleitdokumente für Mitarbeiter enthalten. Netmail versteht sich

als gesamthafter Ansprechpartner für Ihre Kunden.

Über 3.000 Kunden im Fokus unseres typischen Kundenklientels zwischen 250 und 30.000

Mitarbeitern schätzen uns seit 2009 als kompetenten und zuverlässigen Partner. Dabei

handelt es sich um mittelständische Firmen, Unternehmen der Großindustrie,

Finanzdienstleister ebenso wie Einrichtungen der öffentlichen Verwaltung.

Von unserem europäischen Unternehmenssitz im hessischen Idstein betreuen wir unsere

Kunden in ganz Deutschland. Darüber hinaus arbeiten wir auch mit Unternehmen aus

Österreich, der Schweiz und den Niederlande sowie aus anderen Ländern des

Wirtschaftsraums EMEA zusammen. Unsere Mitarbeiter verfügen über langjährige

Erfahrungen in der IT und haben sich im Bereich des Datenmanagements spezialisiert,

um für unsere Kunden hochqualifizierte und kompetente Ansprechpartner zu sein.

Weitere Informationen über uns und unsere Produkte finden Sie auf unserer Webseite:

https://www.netmail.com/de

Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein

Sie haben weitere Fragen?

Wenden Sie sich gerne an unser Team.

Netmail EMEA GmbH

Itzbachweg 16-20

65510 Idstein

E-Mail: emea@netmail.com

Telefon: +49 6126 5019 500

www.netmail.com/de

Rechtlicher Hinweis: Dieses Dokument dient lediglich der Information, stellt keine

Rechtsberatung dar und verfolgt keinen Anspruch auf Vollständigkeit. Eine Gewähr und

Haftung für die Richtigkeit aller Angaben wird nicht übernommen.